注目github_advisory2分
phoenix_storybook: 未認証RCE脆弱性 CVE-2026-8467 公開
30秒で把握
- 1CVE-2026-8467: phoenix_storybookで未認証RCEが成立するHEExインジェクション
- 2WebSocket→unsanitized埋め込み→Kernel無制限evalの3段階チェーンで任意コード実行
- 3Playground公開環境は即時アクセス制御・WebSocket遮断が必要
要約
phoenix_storybookのPlayground機能にHEExテンプレートインジェクションによる未認証リモートコード実行(RCE)脆弱性(CVE-2026-8467)が公開された。WebSocket経由で受信したユーザー入力をサニタイズせずHEExテンプレートに埋め込み、`EEx.compile_string`と`Code.eval_quoted_with_env`でKernelフルアクセス付きで評価するため、任意のElixirコードがサーバー上で実行される。攻撃は3段階で構成され、未認証のWebSocketクライアントから`psb-assign`イベントで細工した属性値を送信するだけで成立する。レンダリングエラーが発生した場合でも注入コードは実行されるため、エラーハンドリングによる緩和は効かない。
あなたへの影響
phoenix_storybookのPlaygroundをステージング・本番環境に公開しているチームは即日アクセス制御の確認と外部からのWebSocket接続の遮断を実施すること。
推奨:パッチ適用前の暫定対策として、Playgroundエンドポイントへの未認証アクセスを認証レイヤーでブロックすることを強く推奨する。